A Uber descobriu que sua rede de computadores foi violada na quinta-feira (15), levando a empresa a colocar fora do ar vários de seus sistemas internos de comunicação e engenharia enquanto investigava a extensão do hack.
A violação parece ter comprometido muitos dos sistemas da Uber, e uma pessoa que assumiu a responsabilidade pelo ato enviou imagens de email, armazenamento em nuvem e repositórios de código para pesquisadores de segurança cibernética e para o New York Times.
"Eles praticamente têm acesso total ao Uber", disse Sam Curry, engenheiro de segurança do Yuga Labs que se correspondeu com a pessoa que afirmou ser responsável pela invasão. "Este é um comprometimento total, ao que parece."
Um porta-voz da Uber disse que a empresa estava investigando a violação e em contato com as autoridades policiais.
Os funcionários da Uber foram instruídos a não usar o serviço interno de mensagens da empresa, o Slack, e descobriram que outros sistemas internos estavam inacessíveis, disseram dois funcionários, que não estavam autorizados a falar publicamente.
Pouco antes de o sistema Slack ser desativado, na tarde de quinta-feira (15), os funcionários do Uber receberam uma mensagem que dizia: "Anuncio que sou um hacker e o Uber sofreu uma violação de dados". A mensagem passou a listar vários bancos de dados internos que, segundo o hacker, foram comprometidos.
O hacker invadiu a conta Slack de um funcionário e a usou para enviar a mensagem, disse o porta-voz do Uber. Parece que o hacker mais tarde conseguiu acesso a outros sistemas internos, postando uma foto explícita em uma página de informações internas para funcionários.
A pessoa que reivindicou a responsabilidade pelo hack disse ao Times que tinha enviado uma mensagem para um funcionário do Uber afirmando ser um profissional de informática da companhia. O trabalhador foi persuadido a entregar uma senha que permitiu ao hacker acessar os sistemas do Uber, técnica conhecida como "engenharia social".
"Esses tipos de ataques de engenharia social para ganhar espaço nas empresas de tecnologia estão aumentando", disse Rachel Tobac, CEO da SocialProof Security. Tobac apontou para a invasão do Twitter em 2020, na qual adolescentes usaram essa técnica para chantagear a empresa. Técnicas semelhantes de engenharia social foram usadas em violações recentes na Microsoft e na Okta.
"Estamos vendo que os hackers estão ficando espertos e também documentando o que funciona", disse Tobac. "Agora eles têm kits que facilitam a implantação e o uso desses métodos de engenharia social. Tornou-se quase uma commodity."
O hacker, que forneceu capturas de tela de sistemas internos do Uber para demonstrar seu acesso, disse que tem 18 anos e trabalha em técnicas de segurança cibernética há vários anos. Ele disse que invadiu os sistemas da Uber porque a empresa tem uma segurança fraca. Na mensagem do Slack que anunciou a violação, a pessoa também disse que os motoristas do Uber deveriam ganhar salários mais altos.
A pessoa parecia ter acesso ao código-fonte do Uber, sistema de e-mail e outros aplicativos internos, disse Curry. "Parece que talvez seja um garoto que entrou no Uber e não sabe o que fazer com isso, e está se divertindo muito", disse ele.
Num email interno que foi visto pelo Times, um executivo do Uber disse aos funcionários que o hack está sendo investigado. "Não temos ainda uma estimativa de quando o acesso total às ferramentas será restabelecido, então obrigado por nos acompanharem nisso", escreveu Latha Maripuri, diretora de segurança da informação da Uber.
Não foi a primeira vez que um hacker roubou dados do Uber. Em 2016, hackers roubaram informações de 57 milhões de contas de motoristas e passageiros, depois abordaram o Uber e exigiram US$ 100 mil para excluir sua cópia dos dados. A Uber providenciou o pagamento, mas manteve a violação em segredo durante mais de um ano.
Joe Sullivan, que era o principal executivo de segurança do Uber na época, foi demitido por seu papel na reação da empresa à invasão. Sullivan foi acusado de obstrução de justiça por não divulgar a violação aos reguladores e está atualmente em julgamento.
Os advogados de Sullivan argumentaram que outros funcionários eram responsáveis pelas divulgações regulatórias e disseram que a empresa usou Sullivan como bode expiatório.
Tradução de Luiz Roberto M. Gonçalves
Comentários
Os comentários não representam a opinião do jornal; a responsabilidade é do autor da mensagem.